"\u003Cdiv\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F81a404d471c242ffae08ba58300bb608\" img_width=\"640\" img_height=\"360\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E最近以来,思科Talos团队发现了大量到目前为止仍正在持续进行中的恶意软件分发活动,这些活动被指与一个名为“SWEED”的黑客组织有关。在分发的恶意软件中,有不少早已声名在外,比如Formbook、Lokibot和Agent Tesla等。\u003C\u002Fp\u003E\u003Cp\u003E根据Talos团队此前的研究,SWEED至少在2017年就已经开始运作了,主要是使用信息窃取工具和远程访问木马(RAT)来攻击目标。\u003C\u002Fp\u003E\u003Cp\u003E自2017年以来,SWEED的大部分活动都保持了一致性——借助带有恶意附件的鱼叉式网络钓鱼电子邮件分发恶意软件。另一方面,虽然恶意附件在类型上多种多样,但大多都旨在分发Agent Tesla(一种信息窃取工具,出现于2014年,甚至更早)。\u003C\u002Fp\u003E\u003Cp\u003E在这篇文章中,我们将回顾SWEED这些年来的部分主要活动,并揭秘SWEED在这些活动中所使用的策略、技术和程序(TTP)。\u003C\u002Fp\u003E\u003Ch1\u003E2017年:隐写术(Steganography)\u003C\u002Fh1\u003E\u003Cp\u003ETalos团队最早发现的SWEED活动之一可以追溯到2017年。在这起活动中,SWEED将dropper打包在了ZIP压缩文件中,然后作为电子邮件附件发送。\u003C\u002Fp\u003E\u003Cp\u003E这些附件大多具有类似于“Java_Updater.zip”或“P-O of june 2017.zip”这样的文件名,如下图所示:\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002F47bb03292bca4bbbb590d25259d4cb56\" img_width=\"640\" img_height=\"459\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003EZIP压缩文件包含有Agent Tesla的一个打包版本,打包器利用了隐写术来隐藏和解码一个.NET可执行文件,而这个.NET可执行文件则使用了相同的技术来检索作为最终payload的Agent Tesla。如下图所示,是存储在资源中的文件:\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F7f6c2ad2146640c8b27173aa3ffb1894\" img_width=\"640\" img_height=\"459\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E如下图所示,是用来解码存储在该图像中的PE文件的算法:\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F57edadd1f4854c36b4d4d3b0b8cc8704\" img_width=\"640\" img_height=\"434\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E解码后的二进制文件存储在数组中。\u003C\u002Fp\u003E\u003Ch1\u003E2018年1月:Java dropper\u003C\u002Fh1\u003E\u003Cp\u003E在2018年初,Talos团队观察到SWEED开始利用基于Java的dropper。\u003C\u002Fp\u003E\u003Cp\u003E与之前的活动类似,JAR压缩文件以附件的形式被添加在电子邮件中,具有类似于“Order_2018.jar”这样的文件名。\u003C\u002Fp\u003E\u003Cp\u003EJAR文件首先会收集有关受感染系统的信息,然后下载Agent Tesla的另一个打包版本。\u003C\u002Fp\u003E\u003Ch1\u003E2018年4月:Office漏洞利用(CVE-2017-8759)\u003C\u002Fh1\u003E\u003Cp\u003E2018年4月,SWEED开始利用在之前被公开披露的Office漏洞。在大量的电子邮件附件中,有一类附件引起了Talos团队的注意,因为它是一个PowerPoint文档(PPXS),包含在其中一张幻灯片中的代码能够触发CVE-2017-8759的漏洞利用(CVE-2017-8759是存在于微软.NET framework中的一个远程代码执行漏洞)。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Ff923bcc13c3c44bfa02962b6bd44c7e1\" img_width=\"640\" img_height=\"80\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E分析表明,“chuks.png”实际上并不是一个图像文件。相反,它是一个XML中的Soap定义,如图所示:\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fb5789a6b07ef4ebb979aba1ee87de9af\" img_width=\"640\" img_height=\"360\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E这段代码的作用是解码一个网址(由攻击者控制的Web服务器地址),并下载托管在其上的一个PE32文件,最终生成的可执行文件依旧是打包的Agent Tesla。\u003C\u002Fp\u003E\u003Ch1\u003E2018年5月:Office漏洞利用(CVE-2017-11882)\u003C\u002Fh1\u003E\u003Cp\u003E2018年5月,SWEED开始利用Microsoft Office中的另一个漏洞:CVE-2017-11882,这是存在于Microsoft Office公式编辑器中的一个远程代码执行漏洞。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F5a2ab743d5024f5f9aa15bfe077b1f4e\" img_width=\"640\" img_height=\"284\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E如下图所示,恶意文档看起来像是一张发票。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F050a045976fb4dcaaead64d969739dc7\" img_width=\"640\" img_height=\"479\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E与此前的活动一样,恶意文档的目的仍然是下载并执行打包的Agent Tesla。\u003C\u002Fp\u003E\u003Ch1\u003E2019:Office宏和AutoIt dropper\u003C\u002Fh1\u003E\u003Cp\u003E从2019年开始,SWEED开始利用Office宏。与此前的活动一样,他们仍利用鱼叉式网络钓鱼电子邮件和恶意附件来分发恶意软件。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F67ef257bd8c14475857a333fa44f5fbd\" img_width=\"640\" img_height=\"556\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E附件中的XLS文件包含一段经过混淆处理的VBA宏代码,能够使用WMI调用执行一个PowerShell脚本。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F2a8c35b6c0ea42af9c72621ef22a37b2\" img_width=\"640\" img_height=\"97\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003EPowerShell脚本负责执行某些检查,然后下载并执行另一个可执行文件。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002Fa86d6886858b43f9bab1f21bead1ee1b\" img_width=\"640\" img_height=\"96\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E下载的二进制文件是一个使用AutoIT编译的脚本。该脚本包含了大量的垃圾代码,旨在使分析变得更加困难和耗时。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp9.pstatp.com\u002Flarge\u002Fpgc-image\u002Ff394657918874c91a4739eecfc2c3fa4\" img_width=\"640\" img_height=\"217\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E正如预期的那样,最终的payload仍旧是Agent Tesla。\u003C\u002Fp\u003E\u003Ch1\u003ESWEED攻击目标分布\u003C\u002Fh1\u003E\u003Cp\u003E自2017年以来,SWEED进行了大量的攻击活动,目标遍布全球,涵盖美国、俄罗斯、中国、新加坡、印度、巴基斯坦、沙特、韩国、伊朗等近50个国家。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002Fc4f739c8b2d54d6ea72e498ec422b370\" img_width=\"640\" img_height=\"315\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E 从被攻击者所处的行业来看,SWEED似乎更倾向于制造业和物流行业。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp3.pstatp.com\u002Flarge\u002Fpgc-image\u002F50cb3d90c5224f9786e974092d26505f\" img_width=\"640\" img_height=\"292\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003ESWEED的真实身份\u003C\u002Fh1\u003E\u003Cp\u003E基于“SWEED”这个名称,Talos团队在HackForums(知名安全论坛)上锁定了一个可疑用户。在发布的很多帖子中,该用户都留下了自己的Skype(一款即时通讯软件)账号——“sweed.XXX”。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F777b1fb923e64beba0222123585d99f6\" img_width=\"640\" img_height=\"385\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E就在2018年1月活动开始前的几个月,该用户在HackForums上公然发帖寻求Java crypter。众所周知,Java crypter有助于恶意文件绕过杀毒软件的检测,因为其能够加密恶意payload的内容。\u003C\u002Fp\u003E\u003Cp\u003ETalos团队还发现,该用户在帖子中留下的Skype账号在2016年也曾被一个昵称为“Daniel”的人使用,当时他在一篇与创建Facebook网络钓鱼页面相关的博客下发表了评论:\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F49a2683a5137441faecf440dac3075e7\" img_width=\"559\" img_height=\"640\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E此外,这个Skype账号还在2015年被一个昵称为“XXX. Daniel”的人使用过。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F0f231ac592594e5cab59803beb94d9db\" img_width=\"625\" img_height=\"111\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Cp\u003E以此为线索,Talos团队最终发现了一个与之相关的LinkedIn账户。种种迹象表明,此人极有可能位于尼日利亚,并且是SWEED组织的核心成员。\u003C\u002Fp\u003E\u003Cdiv class=\"pgc-img\"\u003E\u003Cimg src=\"http:\u002F\u002Fp1.pstatp.com\u002Flarge\u002Fpgc-image\u002F62416b2b6bba402586b7ea4a81f5b54c\" img_width=\"640\" img_height=\"379\" alt=\"利用Agent Tesla在全球开展间谍活动,SWEED黑客组织攻击手法揭秘\" inline=\"0\"\u003E\u003Cp class=\"pgc-img-caption\"\u003E\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E\u003Ch1\u003E结论\u003C\u002Fh1\u003E\u003Cp\u003ESWEED至今已经活跃了至少3年的时间,目前的攻击目标主要指向了全球的中小企业。\u003C\u002Fp\u003E\u003Cp\u003E从其所使用的TTP来看,SWEED应该算是一个相对不那么专业的黑客组织,比如总是使用被公开披露的漏洞,以及在黑客论坛上公开出售的信息窃取工具和RAT病毒(如Pony、Formbook、UnknownRAT、Agent Tesla)。\u003C\u002Fp\u003E\u003Cp\u003E不过,Talos团队预计SWEED将在今后继续运作,因此建议大家仍需继续做好安全防护工作。\u003C\u002Fp\u003E\u003C\u002Fdiv\u003E"
文章来源: https://www.toutiao.com/group/6714856192155320836/